Fraude no Pix: o golpe deixou de ser só conversa e virou operação técnica

A fraude financeira no Brasil está ficando mais híbrida. O golpe ainda começa com engenharia social, mas cada vez mais termina com malware, ferramenta de acesso remoto, tomada de conta ou uso de aparelho roubado. Para quem defende banco, fintech, e-commerce ou operação interna de atendimento, tratar isso como “usuário enganado” já não é suficiente.

O alerta apareceu em discussões recentes sobre malware voltado ao Pix e foi reforçado por dados de mercado. A Dark Reading, citando relatório da BioCatch, informou que golpes de engenharia social cresceram 155% em 2025 na América Latina. No Brasil, o mesmo levantamento aponta alta de 340% em casos envolvendo aparelhos roubados.

O que mudou no golpe

O fraudador não depende mais de uma única técnica. A cadeia típica mistura quatro peças:

  • Pressão humana: contato por telefone, WhatsApp, SMS ou falso suporte para induzir a vítima a agir rápido.
  • Controle do dispositivo: instalação de app de acesso remoto, malware bancário, overlay ou captura de sessão.
  • Velocidade de liquidação: Pix e transferências instantâneas reduzem a janela de reversão.
  • Reuso de identidade: dados vazados, conta tomada, chip clonado ou aparelho desbloqueado permitem bypass de parte dos controles.

Esse padrão aparece também no relatório acadêmico A Taxonomy of Pix Fraud in Brazil, que descreve a evolução dos ataques contra Pix de abordagens puramente sociais para estratégias híbridas, combinando manipulação humana e exploração técnica.

Por que isso é difícil de bloquear

Fraude autorizada pela vítima é especialmente incômoda porque muitas verificações tradicionais passam: senha correta, aparelho conhecido, biometria aprovada e sessão aparentemente legítima. Em muitos casos, o sinal ruim não é o login; é o comportamento depois do login.

Em novembro de 2025, a BioCatch afirmou que instituições financeiras brasileiras registraram mais casos de malware usado para fraude no primeiro semestre de 2025 do que em todo o ano de 2024. O mesmo material cita que tentativas de golpe por engenharia social dobraram em clientes brasileiros da empresa.

Controles que fazem diferença

Para equipes de segurança e fraude, a resposta precisa cruzar sinais técnicos e contexto de negócio:

  1. Detectar mudança de comportamento dentro da sessão: velocidade de digitação, navegação atípica, copiar/colar incomum, troca súbita de favorecido e hesitação guiada por terceiros.
  2. Separar autenticação de autorização: login forte não deve liberar automaticamente uma transferência de alto risco.
  3. Criar fricção proporcional: novo dispositivo, aparelho recém-roubado, mudança de SIM, acesso remoto ativo ou alteração de limite devem elevar o desafio.
  4. Observar ferramentas remotas: muitos golpes dependem de screen sharing ou RAT; telemetria de app, MDM e EDR deve alimentar a decisão antifraude.
  5. Tratar atendimento como superfície de ataque: scripts de call center, recuperação de conta e exceções manuais precisam de trilha de auditoria.

Plano prático para os próximos 30 dias

Se a operação ainda trata fraude Pix e malware bancário em silos separados, comece pelo básico:

  • Mapeie jornadas em que o cliente consegue transferir valor logo após trocar senha, dispositivo ou limite.
  • Bloqueie ou desafie transações quando houver sinal de acesso remoto ou mudança recente de ambiente.
  • Revise fluxos de recuperação de conta que dependem apenas de dados pessoais estáticos.
  • Crie regra de hold para destinatários novos em cenários de risco alto.
  • Integre antifraude, SOC e atendimento para que um alerta de malware vire ação de contenção financeira.

O ponto central: no Brasil, Pix reduziu atrito para usuários legítimos e também para criminosos. A defesa precisa ser igualmente rápida, mas não pode depender só de senha, OTP ou confirmação no app.

Referências